Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para Aplicativos de Nuvem inclui deteções para utilizadores comprometidos, ameaças internas, exfiltração de dados e atividade de ransomware. O serviço utiliza deteção de anomalias, análise de comportamento de utilizador e entidade (UEBA) e deteções de atividade baseadas em regras para analisar a atividade do utilizador em aplicações ligadas.
As alterações não autorizadas ou inesperadas num ambiente de cloud podem introduzir riscos operacionais e de segurança. Por exemplo, as alterações aos principais recursos empresariais, como os servidores que executam o seu site público ou serviço que está a fornecer aos clientes, podem ficar comprometidas.
Defender para Aplicativos de Nuvem captura e analisa dados de várias origens para identificar atividades de aplicações e utilizadores na sua organização. Esta análise dá aos seus analistas de segurança visibilidade sobre a utilização da cloud. Os dados recolhidos estão correlacionados, padronizados e enriquecidos com informações sobre ameaças e detalhes de localização, para fornecer uma vista precisa e consistente das atividades suspeitas.
Antes de otimizar as deteções, configure as seguintes origens de dados:
| Origem | Descrição |
|---|---|
| Registo de atividades | Atividades das suas aplicações ligadas à API. |
| Registo de deteção | Atividades extraídas do log de tráfego de firewall e proxy que você encaminha ao Microsoft Defender para Aplicativos de Nuvem. Os logs são analisados com base no catálogo de aplicativos em nuvem, classificados e pontuados com base em mais de 90 fatores de risco. |
| Registo de proxy | Atividades dos aplicativos de controle de aplicativos de acesso condicional. |
Ajuste as seguintes políticas ao definir filtros e limiares dinâmicos (UEBA) para preparar os respetivos modelos de deteção. Também pode definir supressões para reduzir deteções falsas positivas comuns:
- Detecções de anomalia
- Deteção de anomalias da Cloud Discovery
- Deteção de atividade baseada em regras
Saiba como ajustar as detecções de atividade do usuário para identificar comprometimentos reais e reduzir alertas desnecessários causados por grandes volumes de detecções falso-positivas:
Fase 1: Configurar intervalos de endereços IP
- Configure intervalos de IP para ajustar qualquer tipo de políticas suspeitas de deteção de atividade do utilizador.
A configuração de endereços IP conhecidos ajuda os algoritmos de machine learning a identificar localizações conhecidas e a considerá-las como parte dos modelos de machine learning. Por exemplo, adicionar o intervalo de endereços IP da sua VPN ajuda o modelo a classificar corretamente este intervalo de IP e a excluí-lo automaticamente de deteções de viagens impossíveis porque a localização VPN não representa a verdadeira localização desse utilizador.
Observação
Defender para Aplicativos de Nuvem utiliza intervalos de IP em todo o serviço, não apenas para deteções. Os intervalos de IP são utilizados no registo de atividades, no Acesso Condicional e muito mais. Por exemplo, identificar os seus endereços IP do escritório físicos permite-lhe personalizar a forma como vê e investiga registos e alertas.
Rever alertas de deteção de anomalias
Defender para Aplicativos de Nuvem inclui um conjunto de alertas de deteção de anomalias para identificar diferentes cenários de segurança. Começam a criar perfis de atividade do utilizador e geram alertas assim que liga os conectores de aplicações relevantes.
Comece por se familiarizar com as diferentes políticas de deteção. Priorize os principais cenários que considera mais relevantes para a sua organização e ajuste as políticas em conformidade.
Fase 2: Otimizar políticas de deteção de anomalias
Defender para Aplicativos de Nuvem inclui várias políticas de deteção de anomalias incorporadas pré-configuradas para casos de utilização de segurança comuns. As deteções populares incluem:
| Detecção | Descrição |
|---|---|
| Viagem impossível | Atividades do mesmo usuário em locais diferentes em um período mais curto do que o tempo de viagem esperado entre os dois locais. |
| Atividade do país com pouca frequência | Atividade a partir de uma localização que não foi visitada recentemente ou nunca visitada pelo utilizador. |
| Detecção de malware. | Analisa ficheiros nas suas aplicações na cloud e executa ficheiros suspeitos através do motor de informações sobre ameaças da Microsoft para marcar se estão associados a software maligno conhecido. |
| Atividade de ransomware | Uploads de arquivos para a nuvem que podem estar infectados com ransomware. |
| Atividade de endereços IP suspeitos | Atividade de um endereço IP que o Microsoft Threat Intelligence identificou como de risco. |
| Reencaminhamento de caixa de entrada suspeito | Detecta regras de encaminhamento de caixas de entrada suspeitas definidas na caixa de entrada de um usuário. |
| Atividades invulgares de transferência de múltiplos ficheiros | Detecta várias atividades de download de arquivo em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. |
| Atividades administrativas invulgares | Detecta várias atividades administrativas em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação. |
Observação
Algumas deteções de anomalias focam-se na deteção de cenários de segurança problemáticos, enquanto outras ajudam a identificar e investigar comportamentos anómalos dos utilizadores que podem não indicar necessariamente um compromisso. Para essas detecções, você pode usar Behaviors, que está disponível na experiência de busca avançada do Microsoft Defender.
Definir o âmbito de políticas para utilizadores ou grupos específicos
As políticas de âmbito para utilizadores específicos podem ajudar a reduzir o ruído de alertas que não são relevantes para a sua organização. Pode configurar cada política para incluir ou excluir utilizadores e grupos específicos, como nos seguintes exemplos:
-
Simulações de ataques
Muitas organizações utilizam um utilizador ou um grupo para simular ataques constantemente. Receber constantemente alertas sobre as atividades desses usuários cria ruído desnecessário. Configure as políticas para excluir estes utilizadores ou grupos. Esta ação ajuda os modelos de machine learning a identificar estes utilizadores e a ajustar os respetivos limiares dinâmicos. -
Deteções direcionadas
Poderá querer investigar um grupo específico de utilizadores VIP, como membros de um grupo de administradores ou Diretores de Experiência (CXO). Neste caso, crie uma política para as atividades que pretende detetar e opte por incluir apenas o conjunto de utilizadores ou grupos em que está interessado.
-
Simulações de ataques
Ajustar detecções de entrada anômalas
Os alertas resultantes de atividades de início de sessão falhadas podem indicar que alguém está a tentar direcionar uma ou mais contas de utilizador.
Credenciais comprometidas são uma das causas comuns de sequestro de conta e atividade não autorizada. Os alertas de detecção de viagem impossível, atividade de endereços IP suspeitos e país ou região incomum ajudam você a descobrir atividades que sugerem que uma conta está possivelmente comprometida.
Ajuste a sensibilidade de deslocamento impossívelConfigure o controle deslizante de sensibilidade que determina o nível de supressão aplicado a comportamentos anômalos antes de gerar um alerta de deslocamento impossível. As organizações interessadas em alta fidelidade devem considerar aumentar o nível de sensibilidade. Se a sua organização tiver muitos usuários que viajam, considere reduzir o nível de sensibilidade para suprimir atividades de locais comuns de um usuário identificados com base em atividades anteriores. Pode escolher entre os seguintes níveis de confidencialidade:
- Baixa: supressões de sistema, inquilino e utilizador
- Médio: supressões do sistema e do usuário
- Alta: apenas supressões do sistema
Onde:
Tipo de supressão Descrição Sistema Detecções integradas que são sempre suprimidas. Locatário Atividades comuns com base na atividade anterior do locatário. Por exemplo, suprimir atividades de um ISP anteriormente alertado na sua organização. Usuário Atividades comuns com base na atividade anterior do usuário específico. Por exemplo, suprimir atividades de uma localização que é normalmente utilizada pelo utilizador.
Fase 3: Otimizar as políticas de deteção de anomalias da cloud Discovery
Você pode ajustar várias políticas internas de detecção de anomalias de descoberta na nuvem ou criar suas próprias políticas para identificar outros cenários que valem a pena investigar. Estas políticas usam logs de descoberta na nuvem, com recursos de ajuste que se concentram em comportamento anômalo de aplicativos e exfiltração de dados.
Ajustar o monitoramento de uso
Defina os filtros de utilização para controlar o âmbito e o período de atividade para detetar comportamentos anómalos. Por exemplo, receba alertas para atividades anómalas de funcionários de nível executivo.
Otimizar a sensibilidade dos alertas
Para reduzir alertas desnecessários, configure a sensibilidade dos alertas. Use o controle deslizante de sensibilidade para controlar o número de alertas de alto risco enviados por 1.000 usuários por semana. As sensibilidades mais elevadas requerem menos variância para serem consideradas uma anomalia e gerar mais alertas. Em geral, defina baixa sensibilidade para os utilizadores que não têm acesso a dados confidenciais.
Fase 4: Otimizar políticas de deteção (atividade) baseadas em regras
As políticas de deteção baseadas em regras complementam as políticas de deteção de anomalias com requisitos específicos da organização. Crie políticas baseadas em regras com um dos modelos de Política de atividade.
Se a sua organização não tiver qualquer presença num determinado país ou região, crie uma política que detete as atividades anómalas a partir dessa localização. Para organizações com grandes ramos nesse país ou região, essas atividades são normais e não faz sentido detetar essas atividades.
- Acesse Políticas>Modelos de política e defina o filtro Tipo como Política de atividade. Configure filtros de atividade para detetar comportamentos que não são normais para o seu ambiente.
-
Ajustar o volume de atividade
Escolha o volume de atividade necessário antes de a deteção emitir um alerta. Se a sua organização não tiver presença num país ou região, mesmo uma única atividade é significativa e justifica um alerta. Uma única falha de login pode ser erro humano e só é relevante se houver muitas falhas em um curto período. -
Ajuste filtros de atividade
Defina os filtros necessários para detetar o tipo de atividade em que pretende alertar. Por exemplo, para detetar atividade de um país ou região, utilize o parâmetro Localização . -
Ajustar alertas
Para reduzir alertas desnecessários, defina o limite de alertas diários.
Fase 5: Configurar alertas
Observação
A Microsoft descontinuou o recurso Alertas/SMS (mensagens SMS) em 15 de dezembro de 2022. Se quiser receber alertas de texto, utilize Microsoft Power Automate para automatização de alertas personalizada. Para obter mais informações, veja Integrar com Microsoft Power Automate para automatização de alertas personalizada.
Para receber alertas imediatos a qualquer altura do dia, opte por recebê-los por e-mail.
Também poderá querer a capacidade de analisar alertas no contexto de outros alertas acionados por outros produtos na sua organização. Esta análise dá-lhe uma visão holística de uma potencial ameaça. Por exemplo, poderá querer correlacionar entre eventos baseados na cloud e no local para ver se existem outras provas de mitigação que confirmem um ataque.
Pode utilizar o Microsoft Power Automate para acionar a automatização de alertas personalizada. Quando um alerta é acionado, pode:
- Configurar um manual de procedimentos
- Criar um problema no ServiceNow
- Enviar um e-mail de aprovação para executar uma ação de governação personalizada quando um alerta é acionado
Utilize as seguintes diretrizes para configurar os alertas:
-
Email
Selecione esta opção para receber alertas por e-mail. -
SIEM
Existem várias opções de integração de SIEM, incluindo Microsoft Sentinel, o Microsoft Graph API de Segurança e outros SIEMs genéricos. Escolha a integração que melhor cumpre os seus requisitos. -
Automação no Power Automate
Crie os manuais de procedimentos de automatização necessários e defina-os como o alerta da política para a ação do Power Automate.
Fase 6: Investigar e remediar
Para otimizar a sua proteção, configure ações de remediação automática para minimizar o risco para a sua organização. As políticas permitem-lhe aplicar ações de governação com os alertas para que o risco para a sua organização seja reduzido mesmo antes de começar a investigar. O tipo de política determina as ações disponíveis, incluindo ações como colocar um utilizador em pausa ou bloquear o acesso ao recurso pedido.